SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection
Mozilla Firefox : Trois Vulnérabilités
22/01/2007 13H49 Référence Secunia : SA14654 Date de publication : 2005-03-24 Dernière mise à jour : 2005-03-31
Risque : Elevé. Niveau 4 sur 5. Impact : Contournement de la Sécurité, Accès au système Lieu : A distance
Solutions :
Correctif de l'éditeur
Produit :
Mozilla Firefox 0.x
Mozilla Firefox 1.x
Référence CVE :
CVE-2005-0402
Description :
Trois vulnérabilités ont été identifiées dans Firefox, qui pourrait être exploitée par des personnes malintentionnées pour passer outre certaines restrictions de sécurité et compromettre le système d'un utilisateur.
1) Une erreur dans la restriction de privileged XUL fichiers peut par ex. être exploité pour ouvrir a local privileged XUL file en incitant un utilisateur dragging a faked scrollbar.
La vulnérabilité lui-même ne pose pas any direct security risk comme no XUL fichiers dans le produit use external parameters dans an insécurisé way nor do any destructive actions quand being opened.
2) A web site ajouté comme un sidebar panel peut charger privileged content, qui pourrait être exploitée pour exécuter des programmes arbitraires en injectant JavaScript dans a privileged URL.
3) Une erreur de limitation dans le GIF image processing of Netscape extension 2 blocks pourrait être exploitée pour causer un "heap overflow" via une image spécialement conçue.
L'exploitation de ce problème pourrait être exploitée par un attaquant distant afin de compromettre une machine vulnérable.
Les vulnérabilités ont été identifiées dans les versions inférieures à 1.0.2.
Solutions :
Mettre à jour en version 1.0.2.
http://www.mozilla.org/products/firefox/
Vulnérabilité découverte par :
1) Michael Krax
2) Kohei Yoshino
3) Mark Dowd, ISS X-Force
Historique :
2005-03-31: Ajout d'un lien à une note de vulnérabilité du US-CERT.
SECURINFOS
